民間部門が公共の利益のカギを握る
バイデン政権は2023年3月2日、長らく待ち望まれた国家サイバーセキュリティ戦略を発表した。米国のインフラ、ビジネス、政府機関を標的とするサイバー攻撃を踏まえ、同文書はサイバーセキュリティを米国の経済繁栄と国家安全保障に不可欠な要素と位置づけている。
同文書はまた、ある根本的なジレンマも暗に示している。すなわち、ソフトウェア企業、中小企業、ブロードバンドプロバイダー、電力会社などを主要ステークホルダーとする民間部門が、サイバーセキュリティによる公共利益を実現するためのカギを握っているという事実である。
「重要インフラの破壊と個人情報の窃盗が続いていることからも明らかなように、サイバーセキュリティとレジリエンスのベストプラクティスを広く普及させるには、市場の力のみでは不十分である」
セキュリティ対策の実践、すなわちサイバー衛生の改善に向けて民間部門側が自主的に取り組みを強化するだけでは、もはや十分ではない。新しい戦略は、致命的な脆弱性を防ぐための法的責任とインセンティブを民間企業に与える新たな規制の枠組みを支援すると約束している。
公共部門の文書が、民間部門にこだわるのはなぜか
サイバーリスクを警戒する公共部門が民間部門を注視するようになった理由は、この数年にわたり相次いで起きた重大なサイバー事件にある。
2017年には信用情報機関のエクイファックスがハッキングに遭い、1億4300万人以上の米国人の個人情報を流出させ、連邦取引委員会に4億2500万ドルの罰金を支払って和解した。
悪意ある行為者が米国企業に対してランサムウェアを使い、センシティブデータの安全と引き換えに巨額の金銭を要求するケースが増えている。ハッカーたちの間でランサムウェアが人気の手口であり続ける理由は、多額の身代金を引き出すことにしばしば成功するからにほかならない。
全米のランサムウェア事件に関するコンパリテックの分析によれば、米国企業へのランサムウェア攻撃は、2018~2023年の間に209億ドルの損害を与えている。被害を受けた企業に対する身代金の平均要求額は、2022年には415万ドルに上った。
一例として、毎日1億ガロンの燃料(米東海岸で使われる全燃料の45%)を運ぶコロニアル・パイプラインは2021年、ランサムウェアによる壊滅的な侵害を受けた。米国の重要石油インフラへの攻撃としては、公表されている中では史上最大規模である。
攻撃を行ったハッカー集団の「ダークサイド」は、2時間以内に100ギガバイトのデータを盗み、75ビットコイン(当時約500万ドル相当)を支払わなければデータを公開すると脅迫した。コロニアル・パイプラインは攻撃の破壊力を前に、脅迫に従うことを余儀なくされ、数時間以内に身代金を支払った。
経済のどの部分も、被害と無縁ではない。戦略国際問題研究所の2021年の調査によれば、2020年には中小企業の42%がサイバー攻撃に遭っている。2021年にはサイバー攻撃の40%が中小企業に集中したと推計され、その攻撃数は過去2年で150%増えている。
奪われる可能性のあるデータと収益は、マイクロソフトのような大企業に比べると少ないかもしれないが、堅牢なサイバーセキュリティに費やせるリソースも中小企業は少ない。サイバーセキュリティに特化したリソースをまったく持たない中小企業もある。
